El credential stuffing es un ataque automatizado que prueba pares de email y contraseña filtrados en brechas previas contra sitios donde la víctima nunca quiso reutilizar esa credencial. Funciona porque la mayoría de personas usa la misma contraseña en varios servicios y porque la oferta de listas de credenciales filtradas (las llamadas combos lists) en foros clandestinos es enorme y barata. No requiere descubrir nada nuevo: aprovecha lo que ya está expuesto desde la última gran brecha pública.
Esta guía explica qué es credential stuffing en concreto, cómo se monta operativamente un ataque (combos, tooling, proxies, anti-CAPTCHA), en qué se diferencia de brute force y password spraying, los casos públicos más conocidos sin mitificarlos, cómo se detecta desde el lado defensivo y qué medidas tienen impacto real en la prevención del account takeover (ATO).
Qué es credential stuffing
Credential stuffing es el uso automatizado de credenciales filtradas en una brecha contra otros servicios distintos al originario, asumiendo que un porcentaje de usuarios habrá reutilizado la misma contraseña. Si la brecha de LinkedIn 2012 expone el par juan@empresa.com:Verano2012!, el atacante lanzará ese par contra portales bancarios, retailers, plataformas de streaming, correos personales y herramientas SaaS corporativas a la espera de que el mismo Juan haya reutilizado la contraseña en otros sitios.
El atacante no rompe ningún cifrado nuevo, no explota ninguna vulnerabilidad en el servidor destino. Se limita a aprovechar el comportamiento humano de reutilizar contraseñas. Por eso esta categoría no aparece como CVE en NVD: el problema no está en el código, está en el patrón de uso.
Credential stuffing no rompe puertas: prueba llaves robadas en otras casas a ver cuáles abren. El servidor víctima ve intentos de login con credenciales válidas para una cuenta que existe.
La tasa de éxito típica en campañas grandes oscila entre el 0,1% y el 2% según fuente y vertical. Suena bajo, pero aplicado a una combo list de varios millones de credenciales arroja decenas de miles de cuentas comprometidas con coste operativo casi nulo para el atacante.
Cómo funciona técnicamente
La cadena operativa de un ataque de credential stuffing tiene partes bien definidas y un mercado clandestino maduro alrededor de cada una.
Combos lists y fuentes
Una combo list es un fichero de texto plano con miles o millones de pares en formato usuario:contraseña (o email:contraseña). Las fuentes principales son brechas de datos públicas históricas (LinkedIn 2012, Adobe 2013, MySpace 2008, Yahoo 2013-2014, Collection #1 a #5 publicadas en 2019, recopilaciones modernas) más brechas más recientes vendidas en foros como BreachForums antes de su cierre o sus sucesores.
Las combos se enriquecen, se filtran por dominio destino, se ordenan por probabilidad de éxito y se compran y venden segmentadas. Una combo enfocada a "usuarios de banca online ES" se cotiza más que una genérica.
Tooling especializado
Sentry MBA fue históricamente la herramienta dominante: cargaba combos, configuraba plantillas de login y gestionaba proxies. Su sucesor moderno es OpenBullet (y derivados como BlackBullet), con scripting C# para flujos complejos con CSRF, redirecciones o retos JavaScript. Snipr es popular en foros gaming. Existen repositorios públicos de "configs" para Netflix, Spotify, Fortnite, Disney+ y retailers conocidos.
Proxy rotation
Sin rotación de IP, cualquier WAF mediocre frena el ataque por rate limiting. El atacante usa pools de proxies residenciales compradas a proveedores como Bright Data o a operadores grises que venden acceso a botnets de routers SOHO comprometidos. Cada intento sale por una IP distinta, indistinguible de tráfico doméstico legítimo.
Servicios anti-CAPTCHA
Para sitios con reCAPTCHA o hCaptcha existen servicios (2Captcha, Anti-Captcha, CapMonster) que resuelven los retos con operadores humanos baratos por pocos dólares por mil resoluciones. CAPTCHA como única defensa cae a casi cero frente a un atacante motivado.
Validación y monetización
Las credenciales validadas (hits) se enriquecen con datos de la cuenta (balance, puntos, método de pago) y se monetizan: venta directa de cuentas de streaming, drenaje de puntos de fidelización, fraude con tarjeta guardada o escalada lateral en SaaS corporativo para preparar BEC.
Credential stuffing vs brute force vs password spraying
Las tres familias se mezclan en cobertura mediática. Diferencias clave:
| Característica | Credential stuffing | Brute force | Password spraying |
|---|---|---|---|
| Origen de las credenciales | Pares email:password filtrados de brechas previas | Generación local o diccionarios genéricos | Lista corta de contraseñas frecuentes |
| Objetivo | Una cuenta concreta por par | Una cuenta concreta | Muchas cuentas con pocas contraseñas |
| Volumen por cuenta | 1 intento por par válido | Cientos o miles de intentos | 1 o 2 intentos por cuenta |
| Detección por lockout | No dispara (1 intento por cuenta) | Dispara fácilmente | No dispara |
| Defensa principal | MFA + breach checks | Lockout + complejidad | Account-based rate limiting |
| Coste para el atacante | Muy bajo | Alto en cuentas con complejidad | Bajo |
La gran ventaja del credential stuffing para el atacante es que pasa bajo el radar de los lockouts clásicos: solo se prueba la combinación que se cree correcta para esa cuenta, así que el contador de fallos por usuario no se dispara.
Por qué funciona
Tres realidades sostienen el modelo y ninguna se ha resuelto del todo.
Los humanos reutilizan contraseñas. Encuestas año tras año muestran que una mayoría reconoce reutilizar contraseñas en varios servicios. Recordar decenas de contraseñas únicas y robustas sin herramienta es inviable, y los gestores siguen siendo minoría fuera de perfiles técnicos.
MFA todavía no es universal. Banca, administración pública y SaaS empresarial han avanzado mucho, pero quedan servicios donde MFA es opcional o saltable. Y dentro de las cuentas con MFA, una parte usa SMS (vulnerable a SIM swap) en lugar de TOTP, push o FIDO2.
Password managers en minoría. El uso de gestores dedicados (1Password, Bitwarden, KeePass, gestores del navegador) ronda porcentajes bajos del total. La mayoría sigue recordando contraseñas y reutilizando. Hasta que el patrón cambie a nivel agregado, credential stuffing seguirá teniendo gasolina.
Casos públicos documentados
Sin glamorizarlos, las referencias concretas ayudan a dimensionar el problema.
23andMe (octubre 2023) sufrió un incidente de credential stuffing que comprometió cuentas individuales. La funcionalidad de árbol genealógico expuso datos de millones de familiares vinculados. Derivó en demandas colectivas y un acuerdo económico significativo.
Roku declaró en 2024 dos campañas sucesivas que afectaron a cientos de miles de cuentas, con compras fraudulentas usando métodos de pago almacenados. La empresa terminó forzando MFA obligatorio para todos los usuarios tras el segundo incidente.
Dunkin Donuts sufrió una campaña documentada contra su programa DD Perks en 2018-2019. Los atacantes vaciaron puntos y enfrentaron acción legal del fiscal general de Nueva York con sanción económica.
Disney+ en su lanzamiento (noviembre 2019) tuvo una oleada de cuentas comprometidas puestas a la venta en foros antes incluso de la primera semana de servicio.
British American Tobacco y otros casos en programas de fidelización han mostrado el mismo patrón: cuanto mayor el valor de los puntos canjeables, mayor el atractivo de la cuenta como objetivo ATO.
Plataformas más targeted
Las verticales más atractivas combinan valor inmediato monetizable y baja fricción defensiva.
Retail y eCommerce con fidelización. Puntos convertibles en regalos o descuentos fáciles de vender. Cuentas con tarjeta guardada permiten fraude directo si pasa la verificación.
Streaming (Netflix, Disney+, Spotify, HBO). Cuentas subarrendadas o vendidas muy por debajo del precio oficial, mercado clandestino con volumen alto.
Gaming (Fortnite, Roblox, Steam, League of Legends). Inventarios de skins, monedas virtuales o personajes de valor real con mercado secundario muy líquido.
Servicios financieros. Banca digital, neobancos, wallets cripto, plataformas de pago. Monetización directa pero también fricción defensiva (MFA fuerte, segundo factor por canal independiente).
SaaS B2B. CRM, ERP, herramientas colaborativas, repositorios de código. El valor está en el acceso lateral a datos corporativos o en preparar BEC contra clientes y proveedores.
Detección defensiva
Detectar credential stuffing en tiempo real exige combinar señales en varias capas; una sola medida nunca basta.
WAF con rate limiting por IP y por cuenta. Reglas que limitan intentos por IP en ventana corta son la primera barrera. Críticas las reglas por cuenta, porque el atacante con pool grande de proxies esquiva el límite per-IP fácilmente.
Behavioral analytics (UEBA). Plataformas que perfilan comportamiento típico de cada usuario (horario, dispositivos, ubicaciones) y disparan alerta cuando el login se desvía. Útiles especialmente en SaaS B2B y banca.
Device fingerprinting. Cookies persistentes, identificadores de navegador, hardware. Un login válido desde un dispositivo nunca visto puede pedir verificación adicional. FingerprintJS, ThreatMetrix, iovation cubren este nicho.
Velocity checks. Detectar imposibilidades físicas: mismo usuario logueándose desde España y Brasil con cinco minutos de diferencia. Inviable en humano, frecuente en credential stuffing.
Alertas por pico de fallos de login. Monitorizar la tasa global de logins fallidos. Una campaña dispara un patrón anómalo que el SOC puede investigar aunque las reglas finas no lo bloqueen. Buena práctica integrarlo en el SIEM corporativo.
Geo-IP anomaly. Cuentas que solo se logueaban desde España y de pronto reciben intentos desde docenas de países en minutos. Señal clara de combo list trabajándose contra ese inquilino.
Prevención robusta
La detección sirve para responder; la prevención reduce la superficie. Medidas con impacto demostrado, por prioridad:
MFA obligatorio. El control con mejor relación coste/beneficio. TOTP (Google Authenticator, Authy, Microsoft Authenticator) es el mínimo defendible. Push gestionado por app móvil suma usabilidad. FIDO2 con llave hardware (YubiKey, Titan) es el estándar oro contra credential stuffing y phishing combinado.
Passkeys y WebAuthn. La migración está madurando. Reemplazan la contraseña por una clave criptográfica vinculada al dispositivo, anclada con biometría local. Apple, Google y Microsoft empujan adopción. Una cuenta migrada a passkey deja de ser vulnerable a credential stuffing.
Password breach checks al login. Integrar la API de Have I Been Pwned (k-anonymity) en cambio de contraseña y opcionalmente en login. Si la contraseña aparece en brechas conocidas, forzar cambio. API libre que respeta la privacidad de la contraseña.
CAPTCHA invisible. hCaptcha y reCAPTCHA Enterprise solo presentan reto cuando la puntuación de riesgo es alta. Reduce fricción del usuario legítimo. No es solución completa pero eleva el coste para el atacante.
Bot management dedicado. Cloudflare Bot Management, Akamai Bot Manager, F5 Distributed Cloud Bot Defense aplican fingerprinting, detección de headless browser y sensores JavaScript para distinguir automatización. Coste alto pero impacto medible bajo asedio constante.
Políticas de lockout sanas. Bloquear tras X fallos protege contra brute force pero abre denegación de servicio (un atacante puede bloquear cuentas legítimas a propósito). Diseño recomendable: limitar por IP además de por cuenta, lockout con backoff exponencial, desbloqueo por canal verificado.
Autenticación basada en riesgo. El sistema puntúa el intento (geo, dispositivo, hora, patrón) y exige factores adicionales solo cuando la puntuación sube. Adoptada por banca, Microsoft Entra ID, Okta y la mayoría de IDP modernos.
Respuesta post-incidente ATO
Cuando una cuenta cae, la respuesta marca la diferencia entre incidente contenido y litigio prolongado.
Reset de contraseña inmediato y obligatorio para todas las cuentas afectadas. Reset también del segundo factor cuando proceda, especialmente con sospecha de SIM swap o manipulación del dispositivo.
Invalidación de todas las sesiones activas. Cualquier token de sesión previo al incidente debe quedar inservible. JWT con TTL corto y revocación centralizada es buena práctica de diseño.
Notificación al cliente. En España, si hay datos personales comprometidos y el riesgo es alto, la notificación a la AEPD entra en plazos del RGPD (72 horas). Notificación al afectado obligatoria cuando el riesgo personal es alto.
Forensics y caza de patrón. Revisar logs para entender el alcance real (cuántas cuentas se probaron, qué combo se usó, qué IPs participaron). Compartir IOC cuando proceda y documentar la lección aprendida.
Encaje regulatorio
El credential stuffing impacta tres marcos clave en el contexto español y europeo.
RGPD artículo 32. Exige medidas técnicas y organizativas apropiadas. La AEPD ha sancionado a empresas por ausencia de MFA y de controles antibruteforce cuando el ataque se materializó. El razonamiento es directo: si MFA es estándar de la industria y no se aplica, las medidas no eran apropiadas.
NIS2 artículo 21(g). Pide medidas de gestión de accesos, lo que incluye expresamente autenticación multifactor en sistemas críticos. Empresas en sectores esenciales o importantes deben justificar despliegue de MFA y de detección de accesos anómalos. Más contexto en la guía de auditoría NIS2.
PCI DSS versión 4.0, requisitos 8.4 y 8.5. MFA obligatorio para acceso administrativo al entorno de datos de tarjeta y, desde marzo de 2025, también para cualquier acceso al entorno desde fuera de la red de la entidad. El incumplimiento expone a sanción por la marca y a transferencia de responsabilidad por fraude.
Más allá del cumplimiento legal puro, las pólizas de ciberseguro exigen cada vez de forma más explícita controles MFA y detección de ATO como condición para mantener cobertura.
Preguntas frecuentes
¿MFA elimina por completo el credential stuffing?
No lo elimina pero lo neutraliza para la mayoría de campañas. MFA con TOTP, push o FIDO2 hace que la credencial robada sea insuficiente por sí sola. Quedan vectores residuales (SIM swap contra MFA SMS, MFA fatigue, OAuth phishing avanzado) pero la masa crítica del problema desaparece. Es la inversión con mejor retorno defensivo disponible.
¿Las passkeys reemplazan a la contraseña?
A medio plazo la dirección del sector va por ahí. A corto plazo conviven ambos modelos. Las cuentas migradas a passkey dejan de ser vulnerables a credential stuffing porque no hay contraseña que reutilizar. La adopción es desigual y los flujos de recuperación deben diseñarse con cuidado para no reintroducir el problema por la puerta de atrás.
¿Es mi empresa un objetivo?
Si tienes login expuesto a internet, sí. El atacante no selecciona víctimas: lanza la combo contra cientos de dominios en paralelo. Lo único que cambia entre verticales es la prioridad de monetización. Asumir presión constante permite diseñar controles a la altura.
¿Es legal integrar la API de Have I Been Pwned?
Sí. El servicio mantenido por Troy Hunt expone una API pública con esquema k-anonymity que permite consultar si una contraseña aparece en brechas conocidas sin revelar la contraseña completa. El cliente envía los primeros cinco caracteres del hash SHA-1 y recibe sufijos coincidentes. Uso libre con atribución.
¿CAPTCHA sigue siendo una defensa válida?
Útil pero no suficiente por sí solo. Servicios anti-CAPTCHA humanos resuelven retos por dólares por millar. CAPTCHA invisible basado en señales (reCAPTCHA Enterprise, hCaptcha Enterprise) eleva el coste y fricción para el atacante. Válido como capa adicional, nunca como única barrera.
¿Cuánto cuesta defenderse?
Depende del tamaño y valor del activo. Para una PYME, integrar MFA obligatorio en SaaS críticos y breach checks al cambiar contraseña es prácticamente coste cero más horas. Para una plataforma con login propio y tráfico alto, una solución de bot management va de varios miles a decenas de miles de euros anuales. La comparación correcta es contra el coste esperado de un ATO con notificación regulatoria, devolución de fondos y daño reputacional.
Recursos relacionados
- Qué es pharming: técnica complementaria de robo de credenciales por manipulación de DNS, frecuente como precursor de combos lists.
- Cómo evitar el phishing: la fuente principal de pares email:password nuevos que alimentan combos lists modernas.
- Qué es ingeniería social: contexto del factor humano que sostiene la reutilización de contraseñas.
- Qué es ransomware: impacto típico cuando la cuenta comprometida pertenece a un perfil con privilegios laterales.
- Qué es PKI: base criptográfica de passkeys, FIDO2 y de la migración hacia autenticación sin contraseña.
- Qué es spoofing: familia de técnicas asociadas a phishing y captura de credenciales en fases previas.
Defensa ATO con Secra
En Secra abordamos la defensa contra credential stuffing en tres frentes: auditoría del estado actual del login (presencia y robustez de MFA, gestión de sesiones, breach checks, reglas WAF en la capa de autenticación), pruebas controladas de account takeover dentro de proyectos Red Team para validar si los controles detectan campañas reales con combos sintéticas, y diseño de roadmap hacia passkeys y autenticación basada en riesgo cuando el cliente está preparado para migrar. Si quieres entender la exposición real de tu plataforma frente a ATO automatizado, escríbenos desde contacto o consulta nuestros servicios gestionados.
Sobre el autor
Equipo de Secra Solutions
Ethical hackers certificados OSCP, OSEP, OSWE, CRTO, CRTL y CARTE, con más de 7 años de experiencia en ciberseguridad ofensiva. Autores de los CVE-2025-40652 y CVE-2023-3512.